Revisão do Azure Well-Architected Framework – Azure ExpressRoute
Este artigo fornece melhores práticas de arquitetura para o Azure ExpressRoute. A orientação baseia-se nos cinco pilares da excelência da arquitetura:
Partimos do princípio de que tem conhecimentos práticos sobre o Azure ExpressRoute e está familiarizado com todas as suas funcionalidades. Para obter mais informações, veja Azure ExpressRoute.
Pré-requisitos
Para contexto, considere rever uma arquitetura de referência que reflita estas considerações na estrutura. Recomendamos que comece com Cloud Adoption Framework documentação de orientação da metodologia Ready Connect to Azure and Architect for hybrid connectivity with Azure ExpressRoute (Ligar ao Azure e Ao Arquiteto para conectividade híbrida com o Azure ExpressRoute). Para arquiteturas de aplicações de baixo código, recomendamos que reveja Ativar o ExpressRoute para o Power Platform ao planear e configurar o ExpressRoute para utilização com o Microsoft Power Platform.
Fiabilidade
Na cloud, reconhecemos que ocorrem falhas. Em vez de tentar evitar simplesmente as falhas, o objetivo é minimizar os efeitos da falha de um único componente. Utilize as seguintes informações para minimizar o tempo de inatividade de/para o Azure ao estabelecer conectividade com o Azure ExpressRoute.
Ao debater sobre a fiabilidade com o Azure ExpressRoute, é importante ter em consideração a utilização da largura de banda, o esquema físico da rede e a recuperação após desastre se existirem falhas. O Azure ExpressRoute é capaz de alcançar estas considerações de design e tem recomendações para cada item na lista de verificação.
Na lista de verificação de design e na lista de recomendações abaixo, são apresentadas informações para criar uma rede de elevada disponibilidade entre o ambiente do Azure e a rede no local.
Lista de verificação de estruturação
À medida que faz escolhas de estrutura para o Azure ExpressRoute, reveja os princípios de conceção para adicionar fiabilidade à arquitetura.
- Selecione entre o circuito do ExpressRoute ou o ExpressRoute Direct para requisitos empresariais.
- Configure uma rede de camada física diversificada para o fornecedor de serviços.
- Configure circuitos do ExpressRoute com um fornecedor de serviços diferente para ter diversos caminhos de encaminhamento.
- Configure Active-Active ligações do ExpressRoute entre o local e o Azure.
- Configure gateways do ExpressRoute Rede Virtual com deteção de zona de disponibilidade.
- Configure circuitos do ExpressRoute numa localização diferente da rede no local.
- Configurar Gateways de Rede Virtual do ExpressRoute em regiões diferentes.
- Configure a VPN site a site como uma cópia de segurança para peering privado do ExpressRoute.
- Configure a monitorização para o circuito do ExpressRoute e o estado de funcionamento do Gateway do ExpressRoute Rede Virtual.
- Configure o estado de funcionamento do serviço para receber uma notificação de manutenção do circuito do ExpressRoute.
Recomendações
Explore o seguinte índice de recomendações para otimizar a configuração do ExpressRoute para Fiabilidade.
| Recomendação | Vantagem |
|---|---|
| Planear o circuito do ExpressRoute ou o ExpressRoute Direct | Durante a fase de planeamento inicial, quer decidir se pretende configurar um circuito do ExpressRoute ou uma ligação Do ExpressRoute Direct. Um circuito do ExpressRoute permite uma ligação privada dedicada ao Azure com a ajuda de um fornecedor de conectividade. O ExpressRoute Direct permite-lhe expandir a rede no local diretamente para a rede Microsoft numa localização de peering. Também tem de identificar o requisito de largura de banda e o requisito de tipo de SKU para as suas necessidades empresariais. |
| Diversidade de camadas físicas | Para uma melhor resiliência, planeie ter vários caminhos entre o edge no local e as localizações de peering (localizações de fornecedor/microsoft edge). Esta configuração pode ser conseguida ao passar por um fornecedor de serviços diferente ou por uma localização diferente da rede no local. |
| Planear circuitos georredundantes | Para planear a recuperação após desastre, configure circuitos do ExpressRoute em mais do que uma localização de peering. Pode criar circuitos em localizações de peering no mesmo metro ou metro diferente e optar por trabalhar com diferentes fornecedores de serviços para percursos diversos através de cada circuito. Para obter mais informações, veja Conceber para recuperação após desastre e Estruturar para elevada disponibilidade. |
| Planear a conectividade Active-Active | Os circuitos dedicados do ExpressRoute garantem 99.95% a disponibilidade quando uma conectividade ativa-ativa é configurada entre o local e o Azure. Este modo fornece uma maior disponibilidade da sua ligação do Expressroute. Também é recomendado configurar o BFD para uma ativação pós-falha mais rápida se existir uma falha de ligação numa ligação. |
| Planear gateways de Rede Virtual | Crie o Gateway de Rede Virtual com deteção de zona de disponibilidade para maior resiliência e planeie gateways de Rede Virtual em diferentes regiões para recuperação após desastre e elevada disponibilidade. |
| Monitorizar circuitos e estado de funcionamento do gateway | Configure a monitorização e os alertas para circuitos do ExpressRoute e Rede Virtual estado de funcionamento do Gateway com base em várias métricas disponíveis. |
| Ativar o estado de funcionamento do serviço | O ExpressRoute utiliza o estado de funcionamento do serviço para notificar sobre a manutenção planeada e não planeada. A configuração do estado de funcionamento do serviço irá notificá-lo sobre as alterações efetuadas aos circuitos do ExpressRoute. |
Para obter mais sugestões, veja Princípios do pilar de fiabilidade.
O Assistente do Azure fornece muitas recomendações para circuitos do ExpressRoute, uma vez que estão relacionados com a fiabilidade. Por exemplo, o Assistente do Azure pode detetar:
- Gateways do ExpressRoute nos quais apenas é implementado um único circuito do ExpressRoute, em vez de múltiplos. São recomendados vários circuitos do ExpressRoute para adicionar resiliência para a localização do peering.
- Os circuitos do ExpressRoute que não estão a ser observados por Monitor de Ligação, uma vez que a monitorização ponto a ponto do circuito do ExpressRoute é fundamental para as informações de fiabilidade.
- Topologias de rede que envolvem várias localizações de peering que beneficiariam do Alcance Global do ExpressRoute para melhorar as estruturas de recuperação após desastre para conectividade no local, de modo a considerar a perda de conectividade não planeada.
Segurança
A segurança é um dos aspetos mais importantes de qualquer arquitetura. O ExpressRoute fornece funcionalidades para utilizar o princípio do menor privilégio e da defesa em defesa. Recomendamos que reveja os princípios de conceção de segurança.
Lista de verificação de estruturação
- Configure o Registo de atividades para enviar registos para o arquivo.
- Manter um inventário de contas administrativas com acesso aos recursos do ExpressRoute.
- Configurar o hash MD5 no circuito do ExpressRoute.
- Configure MACSec para recursos do ExpressRoute Direct.
- Encriptar o tráfego através do peering privado e do peering da Microsoft para o tráfego de rede virtual.
Recomendações
Explore o seguinte índice de recomendações para otimizar a configuração do ExpressRoute para segurança.
| Recomendação | Vantagem |
|---|---|
| Configurar o Registo de atividades para enviar registos para o arquivo | Os registos de atividades fornecem informações sobre as operações que foram realizadas ao nível da subscrição dos recursos do ExpressRoute. Com os Registos de atividades, pode determinar quem e quando foi efetuada uma operação no plano de controlo. A retenção de dados é de apenas 90 dias e tem de ser armazenada no Log Analytics, nos Hubs de Eventos ou numa conta de armazenamento para arquivo. |
| Manter o inventário de contas administrativas | Utilize o RBAC do Azure para configurar funções para limitar as contas de utilizador que podem adicionar, atualizar ou eliminar a configuração de peering num circuito do ExpressRoute. |
| Configurar o hash MD5 no circuito do ExpressRoute | Durante a configuração do peering privado ou do peering da Microsoft, aplique um hash MD5 para proteger mensagens entre a rota no local e os routers MSEE. |
| Configurar o MACSec para recursos do ExpressRoute Direct | A segurança de Controlo de Acesso multimédia é uma segurança ponto a ponto na camada de ligação de dados. O ExpressRoute Direct suporta a configuração de MACSec para evitar ameaças de segurança a protocolos como ARP, DHCP, LACP não normalmente protegidos na ligação Ethernet. Para obter mais informações sobre como configurar MACSec, consulte MACSec para portas Do ExpressRoute Direct. |
| Encriptar o tráfego com IPsec | Configure um túnel de Rede de VPNs através do circuito do ExpressRoute para encriptar a transferência de dados entre a rede no local e a rede virtual do Azure. Pode configurar um túnel através do peering privado ou através do peering da Microsoft. |
Para obter mais sugestões, veja Princípios do pilar de segurança.
Otimização de custos
A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Recomendamos que reveja o princípio de conceção da otimização de custos e Planeie e faça a gestão dos custos do Azure ExpressRoute.
Lista de verificação de estruturação
- Familiarize-se com os preços do ExpressRoute.
- Determine o SKU e a largura de banda do circuito do ExpressRoute necessários.
- Determine o tamanho do gateway de rede virtual do ExpressRoute necessário.
- Monitorize os custos e crie alertas de orçamento.
- Desaprovisionar circuitos do ExpressRoute já não estão a ser utilizados.
Recomendações
Explore o seguinte índice de recomendações para otimizar a configuração do ExpressRoute para Otimização de custos.
| Recomendação | Vantagem |
|---|---|
| Familiarizar-se com os preços do ExpressRoute | Para obter informações sobre os preços do ExpressRoute, veja Compreender os preços do Azure ExpressRoute. Também pode utilizar a Calculadora de preços. Certifique-se de que as opções são adequadamente dimensionadas para satisfazer a procura de capacidade e proporcionar o desempenho esperado sem desperdiçar recursos. |
| Determinar a SKU e a largura de banda necessárias | A forma como lhe é cobrada a utilização do ExpressRoute varia entre os três tipos de SKU diferentes. Com o SKU Local, é-lhe automaticamente cobrado um plano de dados Ilimitado. Com o SKU Standard e Premium, pode selecionar entre um plano de dados Medido ou Ilimitado. Todos os dados de entrada são gratuitos, exceto ao utilizar o suplemento Alcance Global. É importante compreender que tipos de SKU e plano de dados funcionam melhor para a sua carga de trabalho para otimizar melhor o custo e o orçamento. Para obter mais informações sobre o redimensionamento do circuito do ExpressRoute, veja Atualizar a largura de banda do circuito do ExpressRoute. |
| Determinar o tamanho do gateway de rede virtual do ExpressRoute | Os gateways de rede virtual do ExpressRoute são utilizados para transmitir tráfego para uma rede virtual através de peering privado. Reveja as necessidades de desempenho e dimensionamento do SKU do Gateway de Rede Virtual preferido. Selecione o SKU de gateway adequado no local para a carga de trabalho do Azure. |
| Monitorizar os custos e criar alertas de orçamento | Monitorize o custo do circuito do ExpressRoute e crie alertas para anomalias de gastos e riscos de gastos excessivos. Para obter mais informações, veja Monitorizar os custos do ExpressRoute. |
| Desaprovisionar e eliminar circuitos do ExpressRoute já não estão a ser utilizados. | Os circuitos do ExpressRoute são carregados a partir do momento em que são criados. Para reduzir os custos desnecessários, desaprovisione o circuito com o fornecedor de serviços e elimine o circuito do ExpressRoute da sua subscrição. Para obter os passos sobre como remover um circuito do ExpressRoute, veja Desaprovisionar um circuito do ExpressRoute. |
Para obter mais sugestões, veja Lista de verificação de revisão de design para Otimização de Custos.
O Assistente do Azure consegue detetar circuitos do ExpressRoute que foram implementados durante um período de tempo significativo, mas que têm o estado de Fornecedor Não Aprovisionado. Os circuitos neste estado não estão operacionais; e remover o recurso não utilizado reduzirá os custos desnecessários.
Excelência operacional
A monitorização e o diagnóstico são fundamentais. Não só pode medir as estatísticas de desempenho, como também utilizar métricas para resolver e remediar problemas rapidamente. Recomendamos que reveja os princípios de design de excelência operacional.
Lista de verificação de estruturação
- Configure a monitorização da ligação entre a rede no local e a rede do Azure.
- Configurar o Service Health para receber notificações.
- Reveja as métricas e os dashboards disponíveis através das Informações do ExpressRoute com as Informações de Rede.
- Reveja as métricas de recursos do ExpressRoute.
Recomendações
Explore o seguinte índice de recomendações para otimizar a configuração do ExpressRoute para Excelência operacional.
| Recomendação | Vantagem |
|---|---|
| Configurar a monitorização da ligação | A monitorização de ligações permite-lhe monitorizar a conectividade entre os recursos no local e o Azure através do peering privado do ExpressRoute e da ligação de peering da Microsoft. O monitor de ligação pode detetar problemas de rede ao identificar onde está o problema ao longo do caminho de rede e ajudá-lo a resolver rapidamente falhas de configuração ou hardware. |
| Configurar o Service Health | Configure as notificações do Service Health para alertar quando a manutenção planeada e futura estiver a ocorrer em todos os circuitos do ExpressRoute na sua subscrição. O Service Health também apresenta a manutenção anterior, juntamente com o RCA, se ocorrer uma manutenção não planeada. |
| Rever métricas com Informações de Rede | As Informações do ExpressRoute com Informações de Rede permitem-lhe rever e analisar circuitos, gateways, métricas de ligações e dashboards de estado de funcionamento do ExpressRoute. As Informações do ExpressRoute também fornecem uma vista de topologia das suas ligações do ExpressRoute, onde pode ver detalhes dos seus componentes de peering num único local. Métricas disponíveis: - Disponibilidade - Débito - Métricas do gateway |
| Rever as métricas de recursos do ExpressRoute | O ExpressRoute utiliza o Azure Monitor para recolher métricas e criar alertas com base na sua configuração. As métricas são recolhidas para circuitos do ExpressRoute, gateways do ExpressRoute, ligações de gateway do ExpressRoute e ExpressRoute Direct. Estas métricas são úteis para diagnosticar problemas de conectividade e compreender o desempenho da ligação do ExpressRoute. |
Para obter mais sugestões, veja Princípios do pilar de excelência operacional.
Eficiência de desempenho
Eficiência de desempenho é a capacidade da sua carga de trabalho para dimensionar para satisfazer as exigências que os utilizadores lhe colocam de forma eficiente. Recomendamos que reveja os princípios de eficiência de desempenho.
Lista de verificação de estruturação
- Teste o desempenho do gateway do ExpressRoute para cumprir os requisitos de carga de trabalho.
- Aumente o tamanho do gateway do ExpressRoute.
- Atualize a largura de banda do circuito do ExpressRoute.
- Ative o ExpressRoute FastPath para um débito mais elevado.
- Monitorize as métricas do circuito e do gateway do ExpressRoute.
Recomendações
Explore a seguinte tabela de recomendações para otimizar a configuração do ExpressRoute para eficiência de desempenho.
| Recomendação | Vantagem |
|---|---|
| Teste o desempenho do gateway do ExpressRoute para cumprir os requisitos de carga de trabalho. | Utilize o Toolkit de Conectividade do Azure para testar o desempenho no circuito do ExpressRoute para compreender a capacidade de largura de banda e a latência da ligação de rede. |
| Aumente o tamanho do gateway do ExpressRoute. | Atualize para um SKU de gateway mais elevado para melhorar o desempenho do débito entre o ambiente no local e o Azure. |
| Atualizar a largura de banda do circuito do ExpressRoute | Atualize a largura de banda do circuito para cumprir os requisitos de carga de trabalho. A largura de banda do circuito é partilhada entre todas as redes virtuais ligadas ao circuito do ExpressRoute. Dependendo da carga de trabalho, uma ou mais redes virtuais podem utilizar toda a largura de banda no circuito. |
| Ativar o ExpressRoute FastPath para um débito mais elevado | Se estiver a utilizar um desempenho Ultra ou um gateway de rede virtual ErGW3AZ, pode ativar o FastPath para melhorar o desempenho do caminho de dados entre a rede no local e a rede virtual do Azure. |
| Monitorizar métricas de circuito e gateway do ExpressRoute | Configure alertas com base nas métricas do ExpressRoute para notificá-lo proativamente quando um determinado limiar for atingido. Estas métricas são úteis para compreender anomalias que podem ocorrer com a sua ligação do ExpressRoute, como interrupções e manutenção que ocorrem nos circuitos do ExpressRoute. |
Para obter mais sugestões, veja Princípios do pilar de eficiência de desempenho.
O Assistente do Azure oferecerá uma recomendação para atualizar a largura de banda do circuito do ExpressRoute para acomodar a utilização quando o circuito estiver a consumir recentemente mais de 90% da largura de banda obtida. Se o tráfego exceder a largura de banda alocada, irá deparar-se com pacotes removidos, o que pode causar um impacto significativo no desempenho ou na fiabilidade.
Azure Policy
Azure Policy não fornece políticas incorporadas para o ExpressRoute, mas podem ser criadas políticas personalizadas para ajudar a governar a forma como os circuitos do ExpressRoute devem corresponder ao estado final pretendido, como a escolha do SKU, o tipo de peering, as configurações de peering, etc.
Recursos adicionais
Orientações do Cloud Adoption Framework
Passos seguintes
Configure um circuito do ExpressRoute ou uma porta do ExpressRoute Direct para estabelecer comunicação entre a sua rede no local e o Azure.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários